专家形容
OpenSSL漏洞是地震级:门锁好了 窗户虚掩着4月8日,常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在高危漏洞,
众多使用https的网站均受影响,大量用户信息陷于“裸奔”,引发网民恐慌。记者采访了解到,在网站和安全厂商的协作下,三分之一受影响的网站已完成修复,使众多网友陷入恐慌的“心脏失血”正趋于可控。面对此次被称为“心脏出血”的高危漏洞,中国计算机学会计算机安全专业委员会主任严明说,这个漏洞是地震级别的,就像家里的门很坚固也锁好了,
但是发现窗户虚掩着。南京翰海源信息技术有限公司创始人方兴表示,此漏洞并不
是因为算法被攻破,
而是由于程序员在设计时没有做长度检查而产生漏洞,其危害性不容小觑。北京知
道创宇信息技术有限公司研究部总监余弦坦言,问题在于这个漏洞出现于2012年,至今两年多,谁也不知道是否已经有黑客利用漏洞获取了用户资料;该漏洞即使被入侵也不会在服务器日志中留下痕迹,
所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄露信息。目前看来,该漏洞确已被很多黑客利用。网络安全领域资深人士透露,由于OpenSSL漏洞的出现,在8日、9日地下交易市场中,各种兜售非法数据的交易显得异常火爆,比如一份某省工程类人员的信息数据,清晰显示出大量人员的姓名、身份证号码等。北京知道
创宇信息技术有限公司首席执行官杨冀龙说,目前的监测显示,某宝的网站被黑客盗取了1T的内存,雅虎邮箱的大量账户密码也曝已经泄露。面对“地震级”漏洞,各网站和安全厂商均采取紧急措施,目前整体形势已趋于可控。专家指出,即使用户之前登陆的网站发生泄密,因为黑客掌握的账号密码的数量庞大,短时间内无法消化使用,所以对于单
个用户而言尽快更改密码设置是非常必要的。但是,对于一些邮箱类网站,即使更改密码可能也无济于事,因为如果黑客已经偷走了cookie缓存,用这个可以直接登录邮箱。建议用户对邮箱再登陆一次,
然后点击退出登陆,减少风险。据新华社北京4月10日电
专家形容OpenSSL漏洞是地震级:门锁好了 窗户虚掩着
时间: 2024-09-27 19:15:09
专家形容OpenSSL漏洞是地震级:门锁好了 窗户虚掩着的相关文章
OpenSSL漏洞波及电商和网银 专家提醒及时修复
中介交易 SEO诊断 淘宝客 云主机 技术大厅 新浪科技 穆媛媛 新浪科技讯 4月9日中午消息,昨日,OpenSSL(为网络通信提供安全及数据完整性的一种安全协议)被爆存在安全漏洞.利用该漏洞,黑客可多次盗取以https开头网址的用户登录账号密码,该漏洞波及电商网站.在线支付等领域.对此,安全专家已发布紧急预警,提醒各大互联网服务商尽快进行版本升级,修复该漏洞. 针对此次OpenSSL漏洞,乌云创始人方小顿对新浪科技表示,OpenSSl实质与服务器有关,很多网站在建站的过程中未及时跟进版本的升级
OpenSSL漏洞可泄露私钥 各大网站应更换证书
中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 OpenSSL漏洞不光会泄露用户账号密码,网站服务器证书也岌岌可危!据网络服务公司Cloudflare发起的"心脏出血漏洞挑战赛"显示,黑客可以利用此漏洞盗取网站服务器SSL证书私钥.在国内深圳沃通已紧急推出SSL证书救援服务. 网站服务器SSL证书私钥泄露,意味着网站用户提交的所有信息都可以被黑客截获!据360网络攻防实
向微软警告3个月无修复 安全专家将Windows漏洞分享至GitHub
在向微软发布警告3个月之后,微软至今没有修复Windows Server的严重漏洞.为此发现该漏洞的安全专家将这个漏洞分享到GitHub上,导致美国计算机应急响应小组(US CERT)警告服务器管理员阻止出境的SMB连接.这个漏洞是在处理SMB流量时候的内存损坏BUG,能够引起存在漏洞的系统的拒绝服务. US CERT 写道: 微软 Windows 操作系统未能妥善处理来自一台恶意服务器的流量,具体说来就是,Windows 无法正确处理一个包含了太多字节的服务器响应(在 SMB2 TREE_CO
OpenSSL漏洞影响:波及国内11440个网站主机
近日,http://www.aliyun.com/zixun/aggregation/9511.html">OpenSSL爆出本年度最严重的安全漏洞,此漏洞在黑客社区被命名为"心脏出血"漏洞.利用该漏洞,黑客坐在主机家里电脑前可获得用户账号密码. 漏洞影响 4月7日凌晨,国内出现了针对OpenSSL"心脏出血"漏洞的黑客攻击迹象.据360网站安全检测平台对国内120万家 经过授权的网站扫描,其中有11440个网站主机受 OpenSSL漏洞影响.4月7
思科Juniper网络设备被曝存在OpenSSL漏洞
北京时间4月11日早间消息,OpenSSL的 心脏流血(Hearbleed)漏洞不仅影响了大量服务器,也存在于思科和Juniper的网络设备中.两家公司表示,目前仍在就 Heartbleed漏洞对产品的影响进行调查,并计划对问题说明进行逐步更新.Juniper和思科已在问题说明中列出了受影响的产品.思科发言人表示,思科将逐个产品发布说明,而思科工程师正在评估哪些产品使用了存在漏洞的OpenSSL,因此需要打补丁.不过,并非所有产品都需要打补丁,因为思科认为,漏洞仅存在于OpenSSL的一个特定功
国外黑客公布被称为heartbleed的OpenSSL漏洞
摘要: 一个国外黑客的爆料,严重冲击了Windows XP停止官方支持消息的关注度.4月7日,有国外黑客公布了被称为heartbleed的OpenSSL漏洞.这一漏洞存在于OpenSSL v1.0.1--1.0.1f版本中,如果用户使用 一个国外黑客的爆料,严重冲击了Windows XP停止官方支持消息的关注度.4月7日,有国外黑客公布了被称为heartbleed的OpenSSL漏洞.这一漏洞存在于OpenSSL v1.0.1--1.0.1f版本中,如果用户使用https协议访问使用了上述版本的
解析OpenSSL漏洞:影响巨大 两年前已存在
什么是SSL? SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息.当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个"锁",表明你在该网站上的通讯信息都被加密. 这个"锁"表明,第三方无法读取你与该网站之间的任何通讯信息.在后台,通过SSL加密的数据只有接收者才能解密.如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件.Facebook帖子.信用卡账号或其他隐私信息的具体内容. SSL最早在1994年由网景推
OpenSSL漏洞披露:想法没错 时间不对
研究人员最近披露称,OpenSSL安全漏洞披露可能在更新发布前的空档期造成更严重的潜在后果. 技术领域的斗争可谓古来有之--Windows对Linux.emacs对vi乃至Perl对Python,而如今安全领域也有了自己的争端--安全漏洞披露方式.曾几何时,公开发布安全漏洞被作为业界共识,然而最近人们发现公布与OpenSSL相当之漏洞却往往反生祸端. 攻击者们能够利用一套经过精心设计的私有密钥立足于外部读取OpenSSL中b2i_PVK_bio()函数中的漏洞说明,Intelworks公司软件工
研究称 OpenSSL 漏洞公布前未遭受黑客攻击
美国安全研究人员表示,目前还没有任何证据能证明"心脏流血"漏洞对外公布前已经被黑客利用. 自从"心脏流血"漏洞上周曝光后,所有人都在问同一个问题:是否有人在谷歌研究人员发现该漏洞前利用其发动过攻击. 从OpenSSL出现这一漏洞到被研究人员披露,中间时隔长达两年.而由于美国联邦调查局(FBI)和谷歌等众多政府机构和互联网公司都在使用这套免费软件,因此倘若黑客提前获知该漏洞,便可利用其窃取密码和用于破解加密数据的密钥. 除此之外,与常规攻击方式不同的是,利用该漏洞窃取